투명 모드에서 Cisco ASA 구성 : Vlan 변환이 포함 된 Layer2 DMZ

ASA 방화벽 뒤에있는 기존의 스위치 이더넷 dot1q 트렁크를 마이그레이션하는 프로젝트가 진행 중입니다.이 트렁크에는 각각 5 개의 VLAN (번호 51-55)이 있습니다. 이것은 원래 layer2 서비스의 간단한 그림입니다 ...

요구 사항 중 하나는 원래 dot1q 트렁크에 Vlan 당 ASA 방화벽 컨텍스트가 있어야한다는 것입니다. 즉, BVI를 사용하여 각 FW 컨텍스트에서 새 INSIDE 인터페이스를 DMZ 인터페이스에 브리지합니다. 다른 제약 조건으로 인해 다음과 같은 FW 구성으로 마무리됩니다 (질문을 단순화하기 위해 모든 컨텍스트를 요약합니다) ...

firewall transparent
!
interface GigabitEthernet0/1.51
 vlan 51
 nameif INSIDE
 security-level 100
 bridge-group 1
!
interface GigabitEthernet0/2.951
 vlan 951
 nameif DMZ
 security-level 50
 bridge-group 1
!
interface BVI1
 ip address 10.10.51.240 255.255.255.0 standby 10.10.51.241
!

투명 모드의 Cisco ASA는 서로 다른 두 개의 VLAN ID를 사용하여 단일 Layer2 VLAN 서비스를 연결합니다. 를 통해 두 VLAN을 연결하십시오 interface BVI1. bridge-group 1각 물리 인터페이스 구성은 상기 구성에 Vlan51 Vlan951과의 연결을 만든다.

ASA : Gi0 / 2가 4507 : Gi1 / 2에 연결되었다고 가정합니다. DMZ 인터페이스에 어떤 일이 발생하는지 확인하십시오. ASA DMZ Vlan은 951이며, dot1q 트렁크를 통해 DMZ 스위치 (Cat4507)에 연결됩니다. 스위치 포트 4507 : Gi1 / 1에 D1을 연결해야하지만 4507 : Gi1 / 1의 dot1q Vlan51-55로 Vlan951-955 서비스를 D1에 제공해야합니다. 다시 말해서, ASA에서해야 할 Vlan BVI는 원래의 서비스 정의에서 Vlan 번호를 엉망으로 만듭니다.

슬프게도, 나는 D1에서 Vlan의 번호를 쉽게 바꿀 수 없습니다. 완벽한 해결책은 4507 : Gi1 / 2의 Vlan951을 4507 : Gi1 / 1의 Vlan51로 변환하는 것입니다. Cisco에는 vlan mapping 이라는 기능이 있지만 QinQ가 필요한 것 같습니다 ... 모든 서비스는 간단한 dot1q입니다 ... 4500 vlan 매핑 문서는 간단한 dot1q 캡슐화를 처리하는 방법에 대해 명확하지 않습니다.

루프백 케이블을 통해 4500에서 VLAN을 변환 할 수 있다는 것을 알고 있지만 이는 VLAN 당 2 개의 추가 포트를 태우며 서비스의 모든 Vlan에 대해 총 10 개의 추가 포트를 제공합니다 (v51-v55).

질문

아래 다이어그램을 참조하십시오.

4507 : Gi1 / 2 dot1q 트렁크에서 95x로 번호가 지정된 모든 Vlan을 4507 : Gi1 / 1 dot1q에서 Vlan5x로 바꾸려면 어떻게해야합니까? "번역 오버 헤드"에 소비되는 가장 적은 수의 포트를 사용해야합니다. 답변에 필요한 모든 포트에 대한 구성을 포함하십시오.

나는 오픈입니다 VLAN 매핑 누군가가이 토폴로지에서 어떻게 작동하는지 설명 할 수 있다면, ...

장비

• IOS XE 3.4.0이 포함 된 4507R + E, Sup7L-E
• 9.0 (2)의 ASA5555X

테스트 할 SUP7이 없지만 SUP6 및 SUP32에서 작동합니다. SUP7이이 기능을 유지한다고 가정합니다.

JNPR M320 <-> SUP32 사이에서 테스트했으며 ' vlan mapping JNPR SUP32 '가 정상적으로 작동합니다.

QinQ가 필요하지 않습니다. QinQ 옵션의 기능은 상위 태그를 하나의 특정 태그에 추가하는 것입니다. 따라서 switchport vlan mapping 1042 dot1q-tunnel 42들어오는 [1042] 스택을 [42 1042] 스택에 매핑합니다. switchport vlan mapping 1042 42들어오는 dot1q Vlan [1042]를 dot1q Vlan [42]에 매핑 하는 것과 반대로 .

JNPR M320 구성 :

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# show 
vlan-id 1042;
family inet {
    address 10.42.42.1/24;
}
{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show interfaces ge-0/1/0               
Physical interface: ge-0/1/0, Enabled, Physical link is Up
  Interface index: 135, SNMP ifIndex: 506
  Description: B: SUP32 ge5/1
  Link-level type: Flexible-Ethernet, MTU: 9192, Speed: 1000mbps, BPDU Error: None,
  MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled,
  Auto-negotiation: Enabled, Remote fault: Online
  Device flags   : Present Running
  Interface flags: SNMP-Traps Internal: 0x4000
  CoS queues     : 8 supported, 8 maximum usable queues
  Current address: 00:12:1e:d5:90:7f, Hardware address: 00:12:1e:d5:90:7f
  Last flapped   : 2013-02-19 09:14:29 UTC (19w6d 21:12 ago)
  Input rate     : 4560 bps (5 pps)
  Output rate    : 6968 bps (4 pps)
  Active alarms  : None
  Active defects : None
  Interface transmit statistics: Disabled

SUP32 구성 :

SUP32#show run int giga5/1
Building configuration...

Current configuration : 365 bytes
!
interface GigabitEthernet5/1
 description F: M320 ge-0/1/0
 switchport
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport nonegotiate
 switchport vlan mapping enable
 switchport vlan mapping 1042 42
 mtu 9216
 bandwidth 1000000
 speed nonegotiate
 no cdp enable
 spanning-tree portfast edge trunk
 spanning-tree bpdufilter enable
end

SUP32#show ru int vlan42
Building configuration...

Current configuration : 61 bytes
!
interface Vlan42
 ip address 10.42.42.2 255.255.255.0
end

SUP32#sh int GigabitEthernet5/1 vlan mapping  
State: enabled
Original VLAN Translated VLAN
------------- ---------------
  1042           42  

SUP32#sh int vlan42                           
Vlan42 is up, line protocol is up 
  Hardware is EtherSVI, address is 0005.ddee.6000 (bia 0005.ddee.6000)
  Internet address is 10.42.42.2/24
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:09, output 00:01:27, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 17 pkt, 1920 bytes - mcast: 0 pkt, 0 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     38 packets input, 3432 bytes, 0 no buffer
     Received 21 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     26 packets output, 2420 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

과

SUP32#ping 10.42.42.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.42.42.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
SUP32#sh arp | i 10.42.42.1
Internet  10.42.42.1             12   0012.1ed5.907f  ARPA   Vlan42
SUP32#show mac address-table dynamic address 0012.1ed5.907f
Legend: * - primary entry
        age - seconds since last seen
        n/a - not available

  vlan   mac address     type    learn     age              ports
------+----------------+--------+-----+----------+--------------------------
Active Supervisor:
*  450  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   50  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   40  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   42  0012.1ed5.907f   dynamic  Yes          5   Gi5/1


user@m320# run ping 10.42.42.2 count 2 
PING 10.42.42.2 (10.42.42.2): 56 data bytes
64 bytes from 10.42.42.2: icmp_seq=0 ttl=255 time=0.495 ms
64 bytes from 10.42.42.2: icmp_seq=1 ttl=255 time=0.651 ms

--- 10.42.42.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.495/0.573/0.651/0.078 ms

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show arp no-resolve |match 10.42.42.2 
00:05:dd:ee:60:00 10.42.42.2      ge-0/1/0.1042        none

위의 @ ytti 답변에 대한 지원이 도움이되기를 바랍니다.

주황색 #sh ver
Cisco IOS 소프트웨어, IOS-XE 소프트웨어, Catalyst 4500 L3 스위치 소프트웨어 (cat4500e-UNIVERSALK9-M), 버전 03.04.00. SG RELEASE SOFTWARE (fc3)
…
주황색 #sh 모드
섀시 유형 : WS-C4507R + E

모드 포트 카드 유형 모델 일련 번호
--- + ----- + -------------------------------------- +- ------------------ + -----------
 4 4 Sup 7-E 10GE (SFP +), 1000BaseX (SFP) WS-X45-SUP7-E CAT1xxxxxxx 
…
orange # sh run int ten4 / 1
건물 구성 ...

현재 구성 : 112 바이트
!
TenGigabitEthernet4 / 1 인터페이스
 스위치 포트 모드 트렁크
 스위치 포트 VLAN 매핑 100 10
 로드 간격 30
종료

orange # sh run int ten4 / 2
!
TenGigabitEthernet4 / 2 인터페이스
 스위치 포트 모드 트렁크
 스위치 포트 VLAN 매핑 10100
 로드 간격 30
…
orange # sh VLAN 매핑 
인터페이스 Te4 / 1 :
유선상의 VLAN
------------------------------ --------------- ----- ---------
100 10 일대일
인터페이스 Te4 / 2 :
유선상의 VLAN
------------------------------ --------------- ----- ---------
10100 일대일

나도 그 SUP를 사용할 수 없지만 Brocade Netiron에서 쉽게 할 수 있습니다.

VPLS에 두 개의 포트를 넣고 다른 VLAN으로 태그를 지정하기 만하면됩니다. 이렇게 :

router mpls

    vpls translate test 100
     vlan 200
     tagged ethe 1/1
     vlan 300
     tagged eth1/2

Brocade의 좋은 점은 모든 태그를 다른 태그로, 이중 태그를 다른 이중 태그로, 이중 태그를 단일 태그로, 단일 태그를 이중 태그로 변환 할 수 있다는 것입니다.